简单的二层交换安全

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44779777/article/details/96734134

开启二层交换对QOS的识别
把没有优先级标记的流量在进入这个接口标记为cos
人工调整映射
查看默认映射
第一个和第二个阀值是可控的
交换安全
未知单播帧 ,组播/广播帧洪泛
端口安全 ——维护一个合法的端口与mac对应关系
静态安全mac地址

sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#no shutdown

惩罚
1、protect–当计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,而原有的计算机不受影响,交换机也不发送警告消息;
2、restrict–当计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机发送警告信息;
3、shudown–当计算机接入时,如果该端口的MAC条目超过最大数量,则端口会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开接口。
占粘滞MAC地址。

sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address stciky   //配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
sw1(config)#errdisable recovery cause psecure-violation  //允许交换机自动恢复因端口安全而被关闭的端口
sw1(config)#errdisable recovery interval 60   //配置交换机60s后自动恢复端口

端口隔离switch port protected

DTP
vlan跳转攻击 ,# vlan tag native dot1q ,把交换机不用的接口划在一个不使用的vlan 并且关闭这些接口。
DTP协商容易遭受攻击,所以一般都是关闭的

sw1(config)#int f0/2
sw1(config-if)#switchport trunk encapsulation dot1q
sw1(config-if)#switchport mode trunk
sw1(config-if)#switchport' nonegotiate

DHCP snooping
在局域网中,经常使用DHCP服务器为用户分配地址,由于DHCP客户端和服务器之间没有认机制,网络攻击的另一种方法是伪装有效的DHCP服务器发出响应。
vlan 1本征vlan
1、如果数据 进入access接口 放行打上相应的标记
带有dot1q 标记
2、发出的数据带有标记 撕掉这个封装然后放行.

1、管理上pc不能被划入本征vlan
2、本征vlan 移动
3、把不用的接口关闭
4、把不用的接口划入特殊vlan
可以在交换机上配置dhcp snooping防止攻击,DHCP snooping的基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCP offer包

sw1(config)#ip dhcp snooping
sw1(config)#ip dhcpsnoop vlan 10
sw1(config)#ip dhcp snooping verify mac-address     //检测以太网帧的源MAC于dhcp请求chaddr字段是否一致,不一致丢弃
sw1(config-if)#int e0/0
sw1(config-if)#ip dhcp snooping trust
sw1(config-if)#ip dhcp snooping limit rate 50     //设定端口只能发送50个包,缓解DHCP的starvation

CHADDR存储该客户端的mac地址
dhcp耗尽攻击
1、二层帧source mac 和CHADDR的mac一致
端口保护即可防御
2、二层帧source mac不变而chaddr 的mac变化
dhcp snooping的绑定表
接口 获取的IP mac vlan 租期
把绑定表存储

 sw1(config)#ip dhcp snooping database flash:xx.txt
 sw1(config)#no ip dhcp snooping information option      //不插入option 82,做中继必须要插入dhcp snooping  就不能关闭option 82

网关接口命令

 sw1(config)#ip dhcp relay infbaoormation  trust      //仅对路由器当前接口有效

ARP欺骗
发出错误的mac
DAI(dynamic ARP inspection)动态ARP检查

sw1(config)#ip arp inspection vlan1     //在vlan1中启用DAI
sw1(config)#ip arp inspection  validate src-mac dst-mac IP       //检查arp (请求和响应)报文中的源mac地址、目的mac地址、源  IP地址和DHCP snooping绑定的信息是否一致
sw1(config)#int f0/1
sw1(config-if)#ip arp  inspection  trust    //配置本接口为信任接口
sw1(config-if)#int  range f0/11-12
sw1(config-if)#ip arp inspection limit none    //取消ARP包的限制,默认15包/秒
sw1(config-if)#ip arp  inspection limit 10

IP地址欺骗
默认时,ipsg不检查所有的接口数据包,因此ipsg只需要在不信任的接口上进行配置即可;

sw1(config)#int f0/2
sw1(config-if)#ip verify source port-security   //在本接口启用IPSG功能
sw1(config)#int range f0/3-4
sw(config)#ip verify source port-security
sw(config)#ip source binding abcd.efgh.abcd vlan1 xxxx.xxxx.xxxx.xxxx int f0/3

802.1x 和 AAA服务器 ISE LDAP
端口和用户的绑定关系

端口阻塞 :
给一些受保护的端口转发未知单播和组播流量
一般用来保护服务器接口或某个重要端口

风暴控制:
当交换网络出现单播/组播/广播风暴时可以抑制转发这些风暴包的接口

生成树
特性:
1、portfast
作用加快接口收敛 风险不参与生成树的构建,如果下联设备出现环路,生成树将无能为力
2、bpduguard
接口下启用,如果接口收到bpdu信息会立即进入err-disable
查看状态 show int f0/0
全局下启用,先启全局的portfast
3、bpdufilter
接口下启用,接口收到bpdu信息会被过滤 风险:接口丧失判断
4、rootguard 阻塞抢根的bpdu消息 收敛完成再用,别用在生成树建成的时候,一般用在不信任的接口
5、loopguard 一般用在阻塞端口,防止单向链路 引发的环路,在接口下配置

 sw1(config)#spanning-tree  guard  loop

6、UDLD单向链路检测

展开阅读全文

Win2000简单安全配置

05-30

rnrn一、系统的安装 rnrn正常情况下Internet 信息服务(IIS)只需要选择三项:rnInternet服务管理器 + Word Wide Web服务器 + 公用文件rn附件和工具可以全部勾除(平常是用不到的),再加上终端服务即可,其它统统勾除!rnrn关于磁盘分区: 正常情况下,C盘分10G已经非常足够使用,其它的应用软件均安装到D盘,如提供FTP服务的SERV-U,以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。rnrn rnrn二、安装硬件的驱动程序rnrn经常安装驱程后重启会自动加载一些程序,可用超级兔子之类软件清理一下启动项。其它的如声卡的驱动找不到,可以不用安装,因为平常用不到声卡,不需要把时间浪费在这里。有碰到系统能默认认出来的显卡也无需再另装驱动程序。rnrnrn二、补丁安装rnrn装完系统后,如果安装的系统是没有打过SP4的,请先安装WINDOWS 2000 sp4,然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com提供 的下载)直接安时间排序打上,以免浪费时间,微软的网站有时候非常慢的。rnrn复制一些必要的软件到D盘rnrn如,WIN2K安装目录I386,可放置一份到D盘,以方便以后使用(如重装IIS的时候)。rnD盘新建一个SOFT目录,用于存放常用软件,如PHP,MYSQL,DUM,SERV-U,SQL SERVER等的安装文件rnrnrn三、系统安全设置rnrn1,用户管理rn删除TsInternetUser用户,并且将Guest用户改名禁用并且更改一个复杂的密码!rn更改Administrator的用户名以及密码!rnrn2,不让系统显示上次登录的用户名,具体操作如下:  rn 修改注册表“HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont DisplayrnLast User Name”的键值,把REG_SZ 的键值改成1。 rnrn3,禁止建立空连接 rn默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止rn建立空连接。  rn(1)修改注册表  rnLocal_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。  rn(2)修改Win 2000的本地安全策略  rn设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容rn许枚举SAM账号和共享”。 rnrn4,打开安全审核rn管理工具--本地安全策略--本地策略--审核策略,正常情况下一共是9项 rnrn推荐设置为:rn审核策略更改:成功 失败rn审核登录事件:成功 失败rn审核对象访问:失败rn审核特权使用:失败 rn审核系统事件:成功 失败rn审核目录服务访问:失败rn审核账户登录事件:成功 失败rn  审核账户管理:成功 失败rn审核策略不需要全部打开,如对象访问的成功项。否则将会占用过多的系统资源。rnrnrn5,IP安全策略的配置。rn可下载现成的策略直接导入(详细配置方法可见网上文章),如http://afei.blog.chinaz.com/UploadFiles/2006-1/128918890.rar ,下载后在管理工具--本地安全策略--IP安全策略 点右键选择-所有任务--导入策略,导入后,指派为新IP安全策略,然后在管理工具--本地安全策略--安全设置 点右键选择重新加载rnrn6,关闭不必要和危险的系统服务rnrn一个新安装好的windows 2000 server系统,默认应该是存在以下服务,设置为以下状态:rnrnAlerter - 禁用 Application Management - 禁用rnrnAutomatic Updates - 可禁用 rnrnBackground Intelligent Transfer Service - 禁用 rnrnClipBook - 禁用 rnrnCOM+ Event System - 手动 rnrnComputer Browser - 禁用 rnrnDHCP Client - 禁用 rnrnDistributed File System - 禁用 rnrnDistributed Link Tracking Client - 自动 rnrnDistributed Link Tracking Server - 禁用 rnrnDistributed Transaction Coordinator - 自动 rnrnDNS Client - 自动 rnrnEvent Log - 自动 rnrnFax Service - 禁用 rnrnFile Replication - 禁用 rnrnIIS Admin Service - 自动 rnrnIndexing Service - 手动 rnrnInternet Connection Sharing - 手动 rnrnIntersite Messaging 禁用 rnrnIPSEC Policy Agent - 自动 rnrnKerberos Key Distribution Center - 禁用 rnrnLicense Logging Service - 禁用 rnrnLogical Disk Manager - 自动 rnrnLogical Disk Manager Administrative Service - 手动 rnrnMessenger - 禁用 rnrnMicrosoft Search - 禁用 (本服务在装了SQLSERVER2000 SP3后出现) rnrnNet Logon - 手动 rnrnNetMeeting Remote Desktop Sharing - 手动 rnrnNetwork Connections - 自动 rnrnNetwork DDE - 手动 rnrnNetwork DDE DSDM - 手动 rnrnNT LM Security Support Provider - 手动 rnrnPerformance Logs and Alerts - 手动 rnrnPlug and Play 自动 rnrnPrint Spooler 禁用 rnrnProtected Storage 自动 rnrnQoS RSVP - 手动 rnrnRemote Access Auto Connection Manager - 手动 rnrnRemote Access Connection Manager - 手动 rnrnRemote Procedure Call (RPC) - 自动 rnrnRemote Procedure Call (RPC) Locator - 手动 rnrnRemote Registry Service 必须禁用 rnrnRemovable Storage - 自动 rnrnRouting and Remote Access - 禁用 rnrnRunAs Service - 禁用 rnrnSecurity Accounts Manager 自动 rnrnSmart Card - 手动 rnrnSmart Card Helper - 手动 rnrnSystem Event Notification 自动 rnrnTask Scheduler 必须禁用 rnrnTCP/IP NetBIOS Helper Service 必须禁用 rnrnTelephony - 手动 rnrnTelnet 禁用 rnrnTerminal Services - 自动 rnrnUninterruptible Power Supply - 手动 rnrnUtility Manager - 手动 rnrnWindows Installer - 手动 rnrnWindows Management Instrumentation 自动 rnrnWindows Management Instrumentation Driver Extensions 自动 rnrnWindows Time - 手动 rnrnWireless Configuration - 手动 rnrnWorkstation 自动 rnrnWorld Wide Web Publishing Service 自动 rnrn做为一个管理员,应该知道各种服务都是做什么用的,例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。 rnrn7,修改注册表rn rnrn删除如下目录的任何键: rnHKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT rnrn删除以下键: rnHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath rnrn删除以下键: rnHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional rnHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix rnrnHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2 rnrnrnrn8,修改终端服务的默认端口(如有必要才需要此操作,默认为3389,可随意修改为1-65535的端口)rn打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处rn找到类似RDP-TCP的子键,修改PortNumber值。 rnrn rnrn9,网卡的端口筛选(看具体情况配置,正常情况不需要做此配置,此项配置需重启才能生效)rnrn网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->rnrn第一项:TCP端口:rn只允许: ---(看具体这台服务器提供什么服务添加)rn80 (www服务)rn21 (一般的ftp默认)rn53 (DNS服务)rn110 (MAIL的SMTP服务)rn25 (MAIL的POP3服务)rn还有例如你的远程终端的端口(默认为3389,也有可能你改为别的端口,如6666,则加上6666)rn rnrn第二项UDP端口:rn此项可不添加,因为限制了以后,服务器则不能打开网页等操作(当然,也安全多了)rnrnrn第三项IP协议:rnip协议:只允许6rn rnrnrn10,IIS安全配置 开始-->程序-->管理工具-->Internet 服务管理器 rn默认的设置是有一个叫“默认站点”的站点,删除。rn在IIS管理器中右击主机,进入属性,会出来一个叫 "*机器名属性"的窗口,在主属性下选择"WWW服务",进入编辑rn到主目录选项卡,进入应用程序设置下的配置,在应用程序映射里,你可以看到有htw, htr, idq, ida等扩展名的映射,rn除了asp,asa,shtml,sthm,stm外,其它的统统删除,因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下,像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了,同理,php或asp.net也一样)rn默认的iis发布目录为c:\Inetpub,将这个目录删除。在d盘或e盘新建一个目录(目录名随意,如WWW),然后新建一个站点,将主目录指向你新建的目录。rn这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。rnrnrn11,其它rnrn网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"rnrn删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录,一个是打印目录,打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来) 论坛

没有更多推荐了,返回首页